• 締切済み
  • すぐに回答を!

Active DirectoryでのFQDNとインターネット上のFQDNはどうやってつながるのですか

NT4.0のPDCを2003R2にアップグレードしてActive Directory環境に移行しました。この時Active Directoryの導入に必須、ということでDNSサーバを稼動し始めました。しかし、このDNSサーバとなったDC自身がnslookupで自分の名前解決ができません。どこか設定がおかしいのだろうと思います。 この問題を解決したいのですが、ただその前に根本的にActive DirectoryでのFQDNとインターネット上のFQDNがどうつながるのかが理解できていないので、それについて教えていただければと思い質問しました。 例えば、旧NT4.0時代のドメインが"yamada"で、このネットワークのインターネット上のドメインが"1.com"、そしてウェブサーバのホスト名が"www"だとすると、このウェブサーバのFQDNは次のようになると思います(シングルフォレスト、シングルドメイン)。  Active Directory上:www.yamada.1.com  インターネット上:www.1.com マイクロソフトによると、Acitive DirectoryになってからマイクロソフトのDNSサーバはインターネットと完全に統合された、となっているのですが、インターネット上の他のDNSサーバでは"www.yamada.1.com"などとはなっておらず、この二つがどうつながるのかが判りません。 それとも、Active Directory上のDNSサーバで設定した内容が間違いなのでしょうか?だとすると、NT4.0時代の"yamada"というドメインはActive Directoryになってからはどう記述されるのが正しいのでしょうか? どたなかよろしくお願い致します。

共感・応援の気持ちを伝えよう!

みんなの回答

  • 回答No.2

> NetBIOSドメイン名"yamada"を一切使わずにこのActive Directoryのドメイン名を"1.com"にすべきだった、ということなのでしょうか? そうなりますね。先にも書いたとおり、NTドメイン名とFQDNは全く別の値を指定できますから、NTドメイン名はそのままに、FQDNを"1.com"とすることは可能でした。 過ぎたことですが。 今後この相違を修復するのはかなり困難だと思います(最悪、ADの再構築になります)。 この問題がどの程度影響しているのかを確認して、今後の対応策を探っていくことになるのではないかと思います。 インターネット上に公開している一部のサーバのホスト名だけを同じにすることは現状でも可能ですから、「ドメイン名を透過的にしたい」主目的がそこであれば、DNSの設定などで回避できるかと思います。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございます。 今回の「DNSサーバとなったDC自身がnslookupで自分の名前解決ができない」という問題は、結論から申し上げますと、単に逆引き参照ゾーンでこのDC自体のPTRレコードが設定されていなかったことによるものでした。それに気付き設定したところ、全く問題が無くなりました。 通常であれば、前方参照ゾーンでホストのAレコードを作成する時に「関連付けられたポインタ(PTR)レコードを作成する」にチェックが入っていれば、自動的にPTRレコードが作成されるはずですが、なぜかそれが作成されていないことに気づいていませんでした。 また、その後色々と自分でも調べてみたのですが、今回の私の設定は「Windows Server 2003 ネットワーク構築ガイド R2対応(秀和システム)」に出ている例と全く同じでした。 それゆえ、ご指摘いただいたように、NTドメイン名はそのままにFQDNを"1.com"とすることはもちろん可能ではありますが、そのような設定をわざわざする必要は無いようです。逆に、NetBIOS名を削除したそのような設定にしてしまうと、Active Directoryのドメインを階層化していく際に最初のドメイン名が無い状態になり、判りにくいようです。 ただ色々とご指摘いただいたおかげでより深く勉強になりました。 ありがとうございました。

  • 回答No.1

おそらく、DNSの理解が中途半端になっているために袋小路に陥っているのではないかと推測します。 うまく説明できるか自信がありませんが、順番にいきましょう。 まず、Active Directory (AD)で使用しているFQDNと、インターネットで使用されているFQDNは、技術的には完全に等価なものです。その意味で、「インターネットと完全に統合された」のは嘘ではありません。 (ISC BINDを使用してADを構築することもできるそうです。やったことないけど。) 次に、DNSのドメイン名は、必ずしもインターネット上から一意に名前解決できるとは限りません。他のサイトへの名前解決に支障がないことが保証できるのであれば、イントラネット内で独自のドメインを使用することも可能です。たとえば、"example.co.jp" のドメインを持っている企業が、社内LAN上では"example.local"を使用することはあり得ます。 つまり、社内LANで使用しているドメインが社外で使用しているドメインと透過的になっている保証はありません。このあたりはネットワーク構築時の設計によります。 ADのドメインも基本的にはイントラネット内で使用するものであり、FQDNはAD構築時に指定できます。NT時代のドメイン名と全く無関係にすることもできます。なので、 > 旧NT4.0時代のドメインが"yamada"で、このネットワークのインターネット上のドメインが"1.com"、そしてウェブサーバのホスト名が"​www"​だとすると、このウェブサーバのFQDNは(中略)www.yamada.1.com というのは、ADのセットアップ時にADのFQDNを"yamada.1.com" にしてしまったことによるものです。 また、別途静的にDNS登録することで、"www.1.com"とすることも十分に可能です。 > それとも、Active Directory上のDNSサーバで設定した内容が間違いなのでしょうか?だとすると、NT4.0時代の"yamada"というドメインはActive Directoryになってからはどう記述されるのが正しいのでしょうか? このあたり、DNSの知識不足とそれに起因するネットワーク設計の不足が要因のように思います。上にも書いたように、ADのドメイン名はNTのドメイン名とは別に自分で決定できるからです。 がんばってください。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございます。 ご指摘いただいた通り「DNSの知識不足とそれに起因するネットワーク設計の不足が要因」だと思います。 ご回答いただいた内容は理解しているのですが、だとすると、今回のケースではどうすべきということなのでしょうか? NT4.0時代のNetBIOSドメイン名"yamada"のPDCをNT4.0から2003R2にアップグレードしたため、Active Directoryに移行する際にはデフォルトの設定通りそのまま"yamada.1.com"というドメイン名にしたのですが、これをインターネットと完全に統合したものにするということは、NetBIOSドメイン名"yamada"を一切使わずにこのActive Directoryのドメイン名を"1.com"にすべきだった、ということなのでしょうか? 理解不足ですみません。 追加で教えていただければ幸いです。

関連するQ&A

  • Active Directoryコネクターのインストールに失敗する

    もともとNT4.0で構成されていた社内LANをActive Directoryで構成し直しました。ところが、このアップグレードした社内LAN(ドメインA。ドメインコントローラはWindows Server 2003R2、NT4.0混在)のユーザーが、NT4.0で構成されたドメインBにあるExchange Server 5.5にアクセスできなくなり、メールが使えなくなってしまいました。 もともとドメインAとドメインBは信頼関係を結んでいます。 そこで調べてみたところ、Active DirectoryコネクターをインストールすればExchange Server5.5のディレクトリをActive Directoryで読めるようになる、ということだったので、早速やってみました。 具体的には、ドメインAのドメインコントローラ(Windows Server 2003R2)にActive Directoryコネクターをインストールしました。 ところが、これで解決かと思いきや今度は次のメッセージが表示されてインストールできませんでした。 「内部コンポーネントが失敗しました。ID番号:c103798a Microsoft Active Directory Connectorセットアップ」 ID番号まで出ているので、マイクロソフトのサイトでも色々と検索して調べてみたのですが結局理由がよく判りません。怪しそうな原因としては、Active Directoryコネクターをインストールするための条件に、 「Exchange Server 5.5 SP3以上がインストールされたExchangeサイトに少なくとも一つ以上のサーバーがあることが必要です。」 と書かれていたのですが、ここで言っている「サーバー」が何を指すのかが不明です。もしかしてこの「サーバー」というのが「Active Directory内のサーバー」という意味であれば、ドメインBもActive Directoryになっていなければならない、ということになるので、これはもうドメインBをActive Directoryにアップグレードするしかない、ということになります。 そういうことなのでしょうか? ただこれもあくまで推測なので判りません。 このままメールが止まってしまうと業務上も致命的なので、時間的な猶予も考えると最小限の変更でまずは現状の状況から稼働できるようにしたいと思っています。ドメインBをNT4.0構成のまま、そしてドメインBにあるExchange Serverは5.5のまま、何とかドメインAのユーザー達が接続できるようにしたいのですが・・・。。 大変困っています。どなたか教えていただけないでしょうか。 よろしくお願い致します。

  • Active Directory について教えてください。

    Active Directory について教えてください。 Windows Server 2008 です。 2台のサーバにADをインストールし冗長化を図ろうと考えております。 しかし、別の建物に1台ずつ配置する為、セグメントが異なります。 シングルドメインで構築する事はできますでしょうか? よろしくお願い致します。

  • Active Directoryの移動に関して

    大学の研究室に新しいサーバーを立てろと依頼されたのですが、 サーバ管理に関してはほとんど知識がありません。 おかしな事をいうかもしれませんが、何卒よろしくお願いします。 以下が、質問内容となります。 現在、動いているサーバはWindows 2000 Serverで Active Directoryがインストールされドメインコントローラとなっています。 このActive Directoryの情報を移動させ、同様の役割を果たすような、 Windows Server 2008のサーバを立てます。 この具体的な手順を知りたいのです。 他のサイトを見たりもしたのですが、ある程度の知識を要するものが多く、 あの場合どうしたらいいとか、この場合どうすべきか、という事が分かりません。 今は、dcpromo.exeを実行する段階にいるのですが、 ここでどういう風に進めていけばいいのか分かりません。 まず、「既存のフォレスト」と「新しいフォレストに新しいドメインを作成する」の どちらを選べば良いかという所で詰まっています。 できる限りこちらから情報を出しますので よろしくお願いします。 因みに必要な情報か分かりませんが、DNSは学校のメインのものが指定されており、 研究室独自で立てていません。

  • 逆引き可能なFQDN

    現在、VineLinux3.2を使いLinuxを勉強中の素人です。 逆引き可能なFQDNかどうかはnslookup、digコマンドなどで 確認できますが、 このFQDNが逆引き可能かどうかは、 そのドメインを管理しているDNSサーバ次第で決まるのでしょうか? 名前解決の順序は、 家庭内LAN→ルータ→ISPのDNS→色々なDNSサーバ→目的の名前解決の情報をもったDNSサーバ(ここで逆引き可能なように登録してあるかどうかで決まる??) 例えば、私はno-ip.comでドメインを取得したのですが、 no-ip.comのDDNSサーバでそのドメインが管理されている、 そしたら、そのDDNSサーバで逆引き可能なように設定されているかどうかで決まるのでしょうか? また、逆引き可能なFQDNは一つのIPアドレスに対して一つ、 これがどういう仕組みになっているのかがよく分かりません。 無知な上に、拙い文で申し訳ありません、よろしくお願いします。

  • Windows2003でのActive Directory移行

    よろしくお願いします。 近々会社でWindows2003(Aサーバ)からWindows2003(Bサーバ)へプライマリドメインを移行し、運用する予定でいます。 この担当をするのですが、ネットで調べてもWindows2003同士の移行方法が見つかりません。 今の段階ではMicrosoft社の『Windows Server 2003 Active Directory Domain Rename Tools』(ドメイン名変更ツール)を使用すればよいのかと考えていますが、このツールで以下のことがいまいちわかりません。 ・AサーバのActive Directoryの設定(UOなど)をそのままBサーバに持っていけるのか。 ・Bサーバで不具合が生じた場合、Aサーバをすぐに元に戻せるのか。(リカバリができるのか)  またAサーバに障害は発生しないか。 ・ドメイン名は、AサーバとBサーバは同名にして大丈夫か(作業時には物理的にAサーバを切離し、Bサーバをプライマリドメインに切替える予定です) Aサーバ・Bサーバ共に環境としましては、 ・Windows Server 2003, Standard Edition(DNSサーバとして使用) ・ドメインは1つ ・ADにはフォレストはなし(Aサーバ) ・クライアントは15台 必要な情報がありましたら、付け加えますので、どうかお願いします。

  • ExchangeサーバのActive Directoryについて

    勉強の為にActive Directoryについて調べています。 Active Directory(AD)についてはいろいろ書いてあるので若干ですが、理解できてきましたが、 ファイルサーバやExchangeサーバを構築するときにどうしたらよいかわからないので教えてください。 基本的には1台のサ-バドメインコントローラ(PDC)を導入しておきます。 そして別のサーバにADを設定してPDCに接続しておきます。 その上にファイルサ-バやExchangeサーバをインストールすると思っています。 そこでPDCへの接続の方法がExchangeサ-バの手順等に載っていません。 私の考えているのは 1、dcpromoでADのインストールウイザードを立上げ 2、「展開の構成の選択」で既存のドメインにドメインコントローラを追加する。にチェックをいれる。 3、「このドメインコントローラをインストールするフォレスト内のドメイン名を入力してください」   に接続するドメイン名をいれる。 4、ドメインの選択画面で接続するドメインを選択する。 5、12. [追加のドメインコントローラのオプション]で「DNSサーバ」「グローバルカタログ」を選択する。 6、その後は画面にしたがっていって、ADの設定は終了。 その後はExchangeサ-バのインストールで ADの拡張を行い、Exchangeサ-バをインストールする。 だいたいこのような感じでよいのでしょうか。(ファイルサーバも同様) まだ初学者でくわしくないのでよろしくお願いいたします。

  • WindowsServer2003上のActive DirectoryにWindowsServer2008を参加させる場合の注意点

    現在WindowsServer2003 SP1で構築されたActive Directoryがあります。 そのドメインにWindowsServer2008のサーバをメンバーサーバとして参加させたいと考えています。 その際に、WindowsServer2003のActive Directory側で事前に行わなければ作業などはありますでしょうか? 何もすることが無いのであれば、それはそれで構わないのですが… マイクロソフトのサイトでは今回のようなケースにおける技術情報が見つかりませんでした。 ご教示頂けますよう、宜しくお願い致します。

  • WindowsServer2000 active directoryで

    WindowsServer2000 active directoryで設定のユーザー名で、指定したドメインにクライアントからログインできません。 アカウントオプションは PW無制限、PWもリセットして再設定しています。 アカウントの期限も「なし」です。ログオン時の大文字、小文字、PWも慎重に入力しています。 いろいろと参考になるサイトで解説を見ても問題解決になりません。 ユーザー設定に問題があるのでしょうか? よろしくお願いします。 ちなみに他のクライアントは、active directoryで設定したユーザー名、PWで同じ(今回の問題にしている)ドメインにログオンできています。 ユーザーが重複もしていません。

  • Active Directory 構築費用について

    Active Directoryの構築費用について教えてください。 現在、NTドメインでの運用をしているのですが、Activeディレクトリに移行する方向で検討しています。 ユーザー数は1000くらいいるのですが、実稼働ユーザーは200~400くらいだと思います。 グループ・ユーザー名をそのまま移行したいと思っているのですが、外部の業者に作業を任せたいと思っております。 ハードやソフト(ライセンス)等の費用はわかのですが、それ以外の調査・準備・移行等に関する工数的な部分の費用がよくわかりません。 質問自体が大雑把なのは承知しておりますが、目安になる費用等を教えていただけないでしょうか。 よろしくお願いします。

  • [ WindowsServer2003 ]のActive DirectoryとDNSの設定

    WindowsNTからWindows Server 2003に移行しようと 考えておりまして、新規で2003を構築している最中です。 NTの時には、ドメインコントローラーを使用していたのですが、2003になると、Active Directoryを導入する必要があるようです。 そして、調べていくと「DNSサーバの導入が必須です。」書かれておりましたが、そもそも、このDNSサーバは、何をするために 導入しなければいけないのでしょうか? また、ドメイン名の指定では、XXX.localのような形式で書かないとうまく動作しないと言う記述も調べるうちに分かりました。 現在のNTでは、ドメイン名に「DOMAINS(例)」を使用しているため、ドメイン名がXXX.localのような形式になると、クライアントPCの設定を変更しなければいけなくなります。 何とかXXX.localのような記述ではなく、「DOMAINS(例)」でDNSが正常に動作するような設定はできないものでしょうか? クライアントの環境は、できれば変更しない状況でサーバだけで対応できるようなことを考えております。 ご助言いただければと思います。 よろしくお願いします。